RTS Articolo 18 – Sicurezza fisica e ambientale

Sintesi Articolo 18

Le entità finanziarie devono sviluppare e attuare una policy di sicurezza fisica e ambientale per proteggere la disponibilità, autenticità, integrità e riservatezza dei dati e delle risorse TIC (Tecnologie dell’Informazione e della Comunicazione). Questa policy deve includere misure di protezione contro attacchi, incidenti e minacce ambientali, sia nei locali dell’entità finanziaria che altrove, e garantire la manutenzione e sicurezza delle risorse TIC. Sono previsti protocolli specifici come le politiche “clear desk” e “clear screen” per minimizzare rischi e garantire la sicurezza delle informazioni sensibili.

  1. Nell’ambito delle salvaguardie volte a preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, le entità finanziarie specificano, documentano e attuano una politica in materia di sicurezza fisica e ambientale. Le entità finanziarie elaborano tale politica alla luce del panorama delle minacce informatiche, conformemente alla classificazione effettuata ai sensi dell’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554, e alla luce del profilo di rischio complessivo delle risorse TIC e dei patrimoni informativi accessibili.
  2. La politica in materia di sicurezza fisica e ambientale di cui al paragrafo 1 contiene tutti gli elementi seguenti:
    • a) un riferimento alla sezione della politica sul controllo dei diritti di gestione degli accessi di cui all’articolo 21, primo comma, lettera g);
    • b) le misure per proteggere da attacchi, incidenti e minacce e pericoli ambientali i locali, i centri di elaborazione dati dell’entità finanziaria e le aree designate come sensibili dall’entità finanziaria, dove risiedono le risorse TIC e i patrimoni informativi;
    • c) le misure volte a garantire la sicurezza delle risorse TIC, sia all’interno che all’esterno dei locali dell’entità finanziaria, tenendo conto dei risultati della valutazione dei rischi informatici relativi alle risorse TIC pertinenti;
    • d) le misure volte a garantire la disponibilità, l’autenticità, l’integrità e la riservatezza delle risorse TIC, dei patrimoni informativi e dei dispositivi di controllo degli accessi fisici dell’entità finanziaria attraverso un’adeguata manutenzione;
    • e) le misure per preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, tra cui:
      • i) una politica «clear desk» per i documenti cartacei;
      • ii) una politica «clear screen» per le strutture di elaborazione delle informazioni.

Ai fini della lettera b), le misure di protezione dalle minacce e dai pericoli ambientali sono commisurate all’importanza dei locali, dei centri di elaborazione dati, delle aree designate come sensibili e alla criticità delle operazioni o dei sistemi di TIC ivi ubicati.

Ai fini della lettera c), la politica in materia di sicurezza fisica e ambientale di cui al paragrafo 1 contiene misure per fornire una protezione adeguata alle risorse TIC non presidiate.

Tutti gli articoli